La app Immuni: capiamoci qualcosa in più

di Massimo Borgobello

 

Introduzione

 

La nuova frontiera della lotta al Covid-19 e della privacy passa per l’utilizzo – o meno – della c.d. “app di tracciamento”, ossia uno strumento per consentire una maggiore verifica preventiva delle ipotesi di contagio.

Il decreto-legge varato il 29.4.2020 prevede che l’utilizzo della app debba essere facoltativo e non possa precludere diritti o prevedere limitazioni o altre conseguenze per chi non la volesse installare.

In secondo luogo, posiamo una doverosa premessa.

L’articolo 4 del G.D.P.R. (ossia l’ormai noto regolamento europeo in materia di trattamento dei dati personali) prevede che sia considerato dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Questo significa che se i dati forniti dalla app non consentiranno un’identificazione diretta dei soggetti coinvolti, non vi sarà trattamento dei dati personali in senso tecnico.

 

I limiti di liceità della app

 

Detto questo, l’Autorità garante per la tutela dei dati personali è intervenuto fornendo delle linee guida (clicca qui per scaricare il file) molto stringenti: per quanto sia “piacevole” credere che non vi sia un trattamento dei dati in senso tecnico, il Garante dimostra giustamente di non “fidarsi” ed interviene indicando i limiti di liceità della app.

Per queste ragioni, la app sarà lecita solo se i dati raccolti saranno anonimizzati mediante pseudonimizzazione (cioè attribuendo un codice alfanumerico ad un soggetto in modo che successivamente non sia possibile la reidentificazione), priva di geolocalizzazione.

Opportunamente il decreto-legge prevede che il trattamento sia effettuato solo in Italia, mediante infrastrutture informatiche istituite presso il Ministero della Salute, con cancellazione dei dati fissata per il 311.12.2020.

 

Informazioni chiare e trasparenti per gli utenti

 

Il Ministero, inoltre, “adotterà misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali, assicurando, in particolare, che: gli utenti ricevano, prima dell’attivazione dell’applicazione, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati; per impostazione predefinita, i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID- 19, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti” (fonte ADKronos).

Ciò significa che le specifiche tecniche non sono ancora chiaramente disponibili: in nessun caso, però potranno essere valicati i limiti posti dal Garante.

Condividi l’articolo!

Compila il modulo per contattarci